Sécurité IT : Adobe Flash au coeur d’une attaque massive
Des pirates exploitent actuellement les fonctionnalités avancées du plugin d’Adobe pour voler les données de connexion des internautes sur de nombreux sites Web.
Des cookies aux clés de sessions, les informations de connexion liées à la navigation Web sont menacées par une attaque massive se déroulant actuellement sur Internet.
Pour voler ces données, les pirates combinent plusieurs fonctionnalités avancées proposées par le greffon Flash d’Adobe, par les navigateurs modernes et par les sites Web de dernière génération. Ils s’appuient sur une requête JSONP permettant à un site de demander des données à un autre… et sur l’outil Rosetta Flash, utilisé pour convertir des modules Flash en texte. Une fois inséré dans la requête JSONP, le texte en question est vu comme tel, mais le navigateur l’exécute comme un module Flash.
A partir de là, tout s’enchaîne: le site Web pirate effectue, en direction d’un site légitime, une requête qui comprend le composant Flash piégé, lequel peut alors lire des données sensibles. Celles-ci sont automatiquement renvoyées au site d’origine. Tous les sites qui implémentent JSONP sont potentiellement concernés par cette attaque. Et ils sont nombreux. Au même titre que Twitter et Tumblr, Google a modifié ses services – y compris YouTube – pour filtrer les requêtes piégées. A contrario, eBay et Instagram restent vulnérables aux dernières nouvelles.
Adobe a également réagi en interdisant un tel usage de Flash dans la dernière version de son plugin (14.0.0.145 sur Windows et OS X ; 11.2.202.394 sous Linux ; 13.0.0.231 pour certains systèmes d’exploitation anciens). Les utilisateurs du navigateur Web Google Chrome disposeront automatiquement de cette mise à jour. Il en va de même pour ceux qui surfent sur Internet Explorer 10 ou 11 sous Windows 8/8.1 ou Windows Server 2012/2012 R2.
Pour les autres, la mise à niveau devra se faire manuellement. Le mieux est de vérifier sur cette page Web si on dispose déjà de la dernière version de Flash. Si ce n’est pas le cas, le téléchargement se passe ici. Comme le note Silicon.fr, cette mise à jour est d’autant plus importante qu’elle corrige trois vulnérabilités, dont certaines présentant un risque de prise de contrôle à distance.
—— A voir aussi ——
Quiz ITespresso.fr : incollable sur les logiciels Adobe ?
Crédit photo : Sam72 – Shutterstock.com